リモートアクセスと信頼できる管理ツールは、今日の組織の運用において中心的な役割を果たしています。Blackpoint Cyberの2026年度年次脅威レポートによると、これらは侵入がどのように始まるかについても、ますます中心的な役割を果たしています。
報告期間中に実施された数千件のセキュリティ調査の分析に基づいて、このレポートは攻撃者の行動における変化を強調しています。脅威アクターは、主に脆弱性の悪用に依存するのではなく、有効な認証情報、正規のツール、および日常的なユーザー主導のアクションを使用してアクセスを獲得することがよくあります。
このレポートは、これらのパターンを検討し、侵入活動がどこで中断されたかを記録し、2025年を通じて観察された事後対応結果から派生した防御の優先事項を提示します。
追加データと事例の詳細な説明は、Blackpoint Cyberが主催する予定のライブウェビナーで取り上げられます。
➡️ ここで登録
2026年度年次脅威レポートの主要な知見
攻撃者は正規のアクセス経路を介して侵入している
レポートで分析された事例全体を通じて、攻撃者は脆弱性の悪用を主な入口点として使用するよりも、正規のアクセスを使用してログインする可能性がより高くなっています。
SSL VPN悪用は識別可能なすべての事例の32.8パーセントを占めており、最も一般的な初期アクセスベクトルの1つになっています。多くの場合、脅威アクターは有効だが侵害された認証情報を使用して認証され、セキュリティ制御には正規に見えるVPNセッションが生じました。
アクセスが確立されると、これらのセッションは多くの場合広範な内部到達可能性を提供し、攻撃者が警告をすぐにトリガーすることなく高価値のシステムに向かって迅速に移動できるようにしました。
信頼できるITツールが組織に対して使用されている
レポートは、アクセスと永続性の方法として、正規のリモート監視管理ツールの頻繁な悪用も文書化しています。
RMM悪用は識別可能な事例の30.3パーセントに出現し、不正なRMMケースの70パーセント以上にScreenConnectが存在しました。これらのツールは標準的なIT管理に一般的に使用されるため、許可されていないインストールは予期されたアクティビティのように見え、強力な可視性がなければ区別が難しくなりました。
レポートは、複数のリモートアクセスツールが使用されている環境は、不正なインスタンスが既存のツーリングに混在する可能性がより高いことを指摘しています。
エクスプロイトではなく、ソーシャルエンジニアリングが大多数の事例を引き起こした
正規のアクセス経路は多くの侵入を可能にしましたが、ユーザーの相互作用は全体的な事例量の最大のドライバーとなりました。
偽のCAPTCHAとClickFixスタイルのキャンペーンは、識別可能なすべての事例の57.5パーセントを占めており、レポートで記載されている最も一般的な攻撃パターンとなっています。
ソフトウェアの脆弱性を悪用するのではなく、これらのキャンペーンは欺瞞的なプロンプトに依存していました。ユーザーは日常的な検証ステップのように見えるものの一部として、Windowsの実行ダイアログにコマンドを貼り付けるよう指示されました。実行には従来のマルウェアダウンロードやエクスプロイト活動なしに、組み込みのWindowsツールが使用されました。
クラウド侵入はMFA後のセッション再利用に焦点を当てている
多要素認証は、調査された多くのクラウド環境で有効化されていましたが、アカウント侵害は依然として発生しました。
Adversary-in-the-Middleフィッシングは、レポートで記載されたクラウドアカウント無効化の約16パーセントを占めていました。これらのシナリオでは、MFAは設計どおりに機能しました。認証をバイパスするのではなく、攻撃者は成功したMFA後に発行された認証されたセッショントークンをキャプチャし、それらを再利用してクラウドサービスにアクセスしました。
クラウドプラットフォームの観点からは、このアクティビティは正規の認証されたセッションと一致しました。
初期アクセスからネットワークピボッティングへ
上記の多くの攻撃は正規のアクセスから始まります。次に起こることが、実際の被害が発生するところです。
最近の調査では、当社のSOCはRoadk1llという新しいマルウェアを特定しました。これはWebSocketベースの通信を使用してシステム間でピボットし、ネットワークトラフィックに混在しながらアクセスを維持するように設計されています。
Inside the SOC Episode #002に参加して、これらの攻撃が初期アクセスから完全な環境侵害までどのように進行するかを確認してください。
これらの知見がセキュリティチームにとって意味するもの
業界、環境、攻撃タイプ全体を通じて、レポートは一貫したパターンを強調しています。多くの成功した侵入は、通常の操作に混在するアクティビティに依存していました。
新しいエクスプロイトや高度なマルウェアに依存するのではなく、攻撃者はリモートログイン、信頼できるツール、標準的なユーザーアクションなどの日常的なワークフローを悪用しました。分析された攻撃チェーンに基づいて、レポートはいくつかの防御の優先事項を特定しています。
- リモートアクセスを高リスク、高影響のアクティビティとして扱う
- 承認されたRMMツールの完全なインベントリを維持し、未使用または古いエージェントを削除する
- 承認されていないソフトウェアインストールを制限し、ユーザー書き込み可能なディレクトリからの実行を制限する
- デバイスの状態、場所、セッションリスクを評価する条件付きアクセス制御を適用する
これらのパターンは、製造業、医療、MSP、金融サービス、建設など、頻繁にターゲットにされるセクター全体で文書化されました。
これらの侵入パターンがどのように展開されるかを調べることに関心のあるチームのために、Blackpoint Cyberは、今後のライブウェビナーで2026年度年次脅威レポートの主要な知見、事例、および防御上の重要な成果を検討します。
